水無月ばけらのえび日記

bakera.jp > 水無月ばけらのえび日記 > iOSのUDID問題

iOSのUDID問題

2011年8月22日(月曜日)

iOSのUDID問題

公開: 2011年8月27日16時25分頃

iOS5以降ではUDIDが段階的に廃止されるらしい、という話に対して、それでは困るという話が出てきて盛り上がっているようですね。

UDIDは端末ごとに固有で不変のIDなので、つまりはケータイIDと同じようなものです。ケータイIDの場合には以下のような性質があり、

後者の条件があるため、危険だと言われつつも辛うじて成立しています (それでも、キャリアのゲートウェイを通ってきたことを確認する必要があったり、さまざまな条件があります)。しかしiPhoneのUDIDの場合は以下のようになり、

これは認証には使用できません。ちなみにMACアドレスにも同じ性質がありますからやはり駄目です。詳しくは以下で。

UDIDを認証に使っていたのだとすれば、それは誤りなので別の方法を採用するべきです。具体的に何が駄目でどうすべきなのかについては、高木さんの以下の日記が分かりやすいと思います。脆弱だった実例も紹介されています。

UDIDを認証ではなく、トラッキング (行動追跡) の目的で使用しているケースもあるでしょう。それはそれでプライバシー上の問題が発生します。UDIDは全てのサイトに同一の値が送出されるため、複数のサイトでの行動を簡単に結びつけられてしまいます。勝手にそういうことをされては困ります。

ユーザーの同意があれば良い、という議論もあり得るとは思いますが、あまりに多くのアプリケーションがUDIDにアクセスするようになると、ユーザーは形式的に同意するようになってしまい、同意のプロセスは形骸化してきます。現在、iPhoneアプリケーションの6割以上が何らかの形でUDIDにアクセスしているらしい、という調査もあるようです (Security review finds 68% of top iPhone apps transmit UDIDs (www.appleinsider.com))。

こういう流れがあった上での廃止検討ですから、その背景や意図を理解した上で対応策を考えるようにしたいところです。

関連する話題: セキュリティ / モバイル

最近の日記

関わった本など

インクルーシブHTML+CSS & JavaScript 多様なユーザーニーズに応えるフロントエンドデザインパターンデザイニングWebアクセシビリティ - アクセシブルな設計やコンテンツ制作のアプローチコーディングWebアクセシビリティ - WAI-ARIAで実現するマルチデバイス環境のWebアプリケーション体系的に学ぶ 安全なWebアプリケーションの作り方 脆弱性が生まれる原理と対策の実践ウェブの仕事力が上がる標準ガイドブック 5 Webプログラミング

その他サイト